e-Nabız Verilerine Usulsüz Erişim ve Hekim Şifresinin Paylaşımı: 2023/695 Sayılı Karar Analizi

Kişisel Verileri Koruma Kurulu (Kurul), 02/05/2023 tarihli ve 2023/695 sayılı kararı ile sağlık sektöründe “merak” veya “hatır ricası” ile yapılan veri sorgulamalarına karşı çok net bir duruş sergilemiştir. Karar, hekimlere tanımlanan e-imza ve şifrelerin yardımcı personel ile paylaşılmasının doğurduğu hukuki riskleri ve e-Nabız gizlilik ayarlarının kapsamını belirlemektedir.

Olayın Özeti: “Avukat Arkadaşım Rica Etti” İtirafı

İlgili kişi, daha önce hiç gitmediği bir tıp merkezindeki bir hekimin e-Nabız üzerinden sağlık verilerine eriştiğini fark ederek şikâyetçi olmuştur.

• Tıp Merkezinin Savunması: Başta “TC kimlik numarası benzerliği nedeniyle sehven girildi” dense de, yapılan inceleme sonucunda; hekim sekreterinin, bir hastane çalışanının ricası (onun da avukat bir tanıdığının isteği) üzerine hekimin şifresini kullanarak verilere eriştiği itiraf edilmiştir.
• Gizlilik Ayarı Argümanı: Veri sorumlusu, ilgili kişinin e-Nabız ayarının “Tüm Hekimler Verilerimi Görsün” şeklinde olmasının bu erişimi hukuka uygun kıldığını savunmuştur.

Kurulun Hukuki Değerlendirmesi

Kurul, sağlık verilerinin “özel nitelikli kişisel veri” olması nedeniyle uyuşmazlığı şu kriterlerle değerlendirmiştir:

1. “Tüm Hekimler Görsün” İzni Sınırsız Değildir: Kişilerin e-Nabız erişim yetkisini geniş tutması, herhangi bir hekime bu verileri keyfi olarak işleme hakkı vermez. Bu izin, yalnızca sağlık durumunun gerektirdiği hallerle (teşhis, tedavi vb.) sınırlı bir erişim yetkisidir.
2. Hekim Şifresinin Paylaşılması: Hekimlere sağlanan e-imza ve şifreler kişiye özeldir. Hekimin bu şifreyi sekreteriyle paylaşması, özel nitelikli kişisel verilerin korunması konusundaki özen yükümlülüğünün (KVKK Md. 12) ihlalidir.
3. Hukuka Aykırı İşleme: Somut olayda hiçbir tıbbi gerekçe, teşhis veya tedavi amacı bulunmadığından, yapılan erişim Kanun’un 6. maddesindeki işleme şartlarından hiçbirine dayanmamaktadır.

Karar Sonucu: 200.000 TL İdari Para Cezası

Kurul;

• Özel nitelikli verilerin (sağlık verisi) hukuka aykırı işlendiği,
• Hekimin şifresini korumak için gerekli önlemlerin alınmadığı,
• Personel eğitimlerinin yeterince tevsik edilemediği gerekçeleriyle,Veri sorumlusu tıp merkezine 200.000 TL idari para cezası uygulanmasına karar vermiştir.

Özgür Eralp Perspektifi: “Şifre Namustur, Paylaşılamaz”

Bilişim hukuku alanındaki 25 yıllık tecrübemizde, sağlık kuruluşlarında sekreterlerin hekim adına sistemlere girmesinin bir “kolaylık” olarak görüldüğünü biliyoruz. Ancak bu karar, bu kolaylığın kurumlar için nasıl bir mali yıkıma dönüşebileceğini göstermiştir.

Bir yatırımcı avukat vizyonuyla uyarım şudur: Tıp merkezleri, teknik tedbirlerin (log kayıtları gibi) sadece ihlali tespit etmeye yaradığını, ihlali önleyenin ise “idari disiplin” olduğunu anlamalıdır. Hekimlere verilen e-imzalar, banka şifresi kadar mahrem tutulmalıdır. Ayrıca e-Nabız ayarlarınızın açık olması, kapınızın herkese açık olduğu anlamına gelmez; hukuk her zaman “meşru amaç” ve “ölçülülük” arar. Veriye yetkisiz erişen personel ve buna göz yuman hekim hakkında TCK kapsamında “Kişisel Verileri Hukuka Aykırı Ele Geçirme” suçundan ayrıca ceza davası açılması da kuvvetle muhtemeldir.

---

Sıkça Sorulan Sorular

1. e-Nabız ayarlarımı “Tüm hekimler görsün” yaparsam verilerim tehlikede mi?

Hayır, bu ayar acil durumlarda hayat kurtarabilir. Ancak bu ayar açık olsa bile, sizi muayene etmeyen veya tedavi sürecinizde yer almayan bir hekimin verilerinize bakması suçtur ve KVKK ihlalidir.

2. Hekim sekreteri benim verilerime baktığında kim ceza alır?

İdari para cezasını Kurul doğrudan kuruma (Tıp Merkezine) keser. Ancak ilgili şahıslar hakkında Türk Ceza Kanunu kapsamında savcılığa suç duyurusunda bulunma hakkınız saklıdır.

3. Hastanenin log (erişim) kayıtlarını tutması onu kurtarır mı?

Kararda görüldüğü üzere hayır. Log kayıtları ihlali aydınlatmaya yarar ancak kurumun “uygun güvenlik düzeyini temin etme” (Md. 12) yükümlülüğünü yerine getirmediğinin ispatı olarak aleyhine de kullanılabilir.

4. Bu ihlal nedeniyle tazminat davası açabilir miyim?

Evet. Kurul’un verdiği para cezası devlete ödenir. Sizin verilerinizin sızması veya yetkisiz görülmesi nedeniyle uğradığınız manevi zarar için asliye hukuk mahkemelerinde tazminat davası açabilirsiniz.

5. Bir hekim benim verilerime baktığında bunu nasıl anlarım?

e-Nabız sistemi üzerinden “Bilgilerime Erişim Sorgulama” sekmesine girerek, hangi sağlık tesisinin veya hangi hekimin ne zaman verilerinizi görüntülediğini anlık olarak takip edebilirsiniz.

---

Kaynaklar

• KVKK Kurumu – 2023/695 Sayılı Karar Özeti
• 6698 Sayılı KVKK (Madde 6, 12, 18)
• Kişisel Sağlık Verileri Hakkında Yönetmelik
• Türk Ceza Kanunu (Madde 136)